Cesko.wiki Obecné nařízení o ochraně osobních údajů
Author
Albert FloresObecné nařízení o ochraně osobních údajů, zkráceně ONOOÚ (anglicky GDPR, General Data Protection Regulation), plným názvem Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), je nařízení Evropské unie, jehož cílem je výrazné zvýšení ochrany osobních dat občanů. V Úředním věstníku Evropské unie bylo vyhlášeno dne 27. dubna 2016.
Předmět a cíle
Stanovit pravidla ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů a pravidla pro pohyb osobních údajů. Nařízení chrání základní práva a svobody fyzických osob se zaměřením na právo ochrany osobních údajů. +more Volný pohyb osobních údajů v Evropské unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán.
Věcná působnost
Nařízení se vztahuje na automatizované zpracování osobních údajů i na neautomatizované zpracování osobních údajů obsažených v evidenci nebo těch, co mají být zařazeny do evidence. Nařízení se nevztahuje na zpracování osobních údajů prováděné: * při výkonu činností, které nespadají do oblasti působnosti práva Unie; * členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU; * fyzickou osobou v průběhu výlučně osobních či domácích činností; * příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. +more Zpracování osobních údajů orgány, institucemi a jinými subjekty Unie je upraveno mimo jiné nařízením (ES) č. 45/2001. Nařízení (ES) č. 45/2001 a další právní akty Unie týkající se takového zpracování osobních údajů jsou uzpůsobeny zásadám a pravidlům tohoto nařízení podle článku 98. Nařízením není dotčeno uplatňování směrnice 2000/31/ES.
Osobní údaje
Nařízení zpřesňuje a rozšiřuje okruh a definici osobních údajů. Osobní údaje jsou jakékoliv informace o identifikované nebo identifikovatelné fyzické osobě. +more Osobním údajem proto nejsou např. údaje o právnické osobě (o jejích zaměstnancích už ale ano), údaje o osobách zemřelých, nejsou to údaje, které konkrétní osobu neztotožňují (např. pouhé běžné jméno a příjmení) a mezi osobní údaje nepatří údaje anonymizované, tedy takové, které původně možnost identifikace osoby obsahovaly, ale takový identifikátor z nich byl odstraněn. Už směrnice (č. 95/46/ES, předcházející nařízení) naopak mezi osobní údaje zařadila i dynamické IP adresy či jiné virtuální identifikátory. Osobním údajem může být např. i způsob vystupování advokáta v soudním řízení.
Z obsahu
Nařízení definuje zásady zpracování osobních údajů a podmínky zákonnosti jejich zpracování. Upravuje také podmínky vyjádření poskytnutého souhlasu se zpracováním údajů a poskytování informací a přístupu k osobním údajům.
Vybraná práva subjektu údajů
Mimo dalších, má subjekt údajů následující práva: * na opravu * na výmaz (tzv. právo být zapomenut) * na omezení zpracování
Vybrané povinnosti správce osobních údajů
Ohlašovací povinnost správce vůči dozorovému úřadu (čl. 33 GDPR)
Správce má podle čl. 33 odst. +more 1 GDPR povinnost ohlásit jakékoliv porušení zabezpečení osobních údajů dozorovému úřadu (v ČR Úřadu pro ochranu osobních údajů), a to bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl (Pokud není ohlášení učiněno do 72 hodin, ale až později, musí být současně s ním uvedeny důvody zpoždění. ). Správce tak nemusí učinit, jen pokud je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob (např. v případě používání pseudonymizace či šifrování, které v některých případech mohou riziko pro práva a svobody fyzických osob zcela eliminovat).
Ohlášení porušení zabezpečení osobních údajů musí podle čl. 33 odst. 3 GDPR přinejmenším obsahovat:
* popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů, * jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace, * popis pravděpodobných důsledků porušení zabezpečení osobních údajů, * popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Úřad pro ochranu osobních údajů zveřejnil [url=https://www. uoou. +morecz/assets/File. ashx. id_org=200144&id_dokumenty=38403]formulář[/url] , který správci mohou použít při oznamování porušení zabezpečení osobních údajů subjektu údajů dozorovému orgánu.
Oznamovací povinnost správce vůči subjektům údajů (čl. 34 GDPR)
Pokud je pravděpodobné, že konkrétní případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, správce musí podle čl. 34 GDPR toto porušení bez zbytečného odkladu oznámit i přímo subjektům údajů. +more V oznámení určeném subjektu údajů musí správce podle čl. 34 odst. 2 GDPR popsat povahu porušení zabezpečení osobních údajů a uvést v něm přinejmenším:.
* jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace, * popis pravděpodobných důsledků porušení zabezpečení osobních údajů, * popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Všechny výše uvedené informace je nutné vysvětlit tak, aby byly pro subjekt údajů pochopitelné (tedy za použití jasných a jednoduchých jazykových prostředků). Vhodné zároveň je subjekty údajů poučit i o způsobu, jak mohou samy následky porušení zabezpečení osobních údajů minimalizovat (např. +more pokud unikla databáze přihlašovacích jmen a hesel, tak je žádoucí subjekty údajů poučit o tom, že by si měly heslo co nejrychleji změnit).
Správce nemusí podle čl. 34 odst. 3 GDPR oznámit porušení zabezpečení osobních údajů subjektům údajů v případě, že je splněna kterákoli z těchto podmínek:
* správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování, * správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neprojeví, * vyžadovalo by to nepřiměřené úsilí. V takovém případě však musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.
GDPR v Česku
Podle zjištění Hospodářské komory nebyla ještě koncem roku 2017 připravenost podnikatelů na GDPR vysoká, někteří o nové povinnosti v oblasti ochrany osobních údajů nejspíše ani nevěděli. Zavedení GDPR by u živnostníků nemělo trvat déle než měsíc.
Pro školy zavedení GDPR znamená mít dobře udělený souhlas, protože pokud někteří rodiče souhlas nedají, omezí se tím možnost prezentace školy, bude nutné používat začerňování a některé třídy nebudou moci být prezentovány vůbec. Souhlas rodičů by mohlo být nutné vyžadovat například v situacích, kdy dítě vyhraje matematickou soutěž a nechá se fotografovat, souhlas zákonného zástupce se zveřejněním výsledků soutěže a fotografií výherce. +more Ochrana osobních údajů ve školách se netýká pouze jmen dětí, ale týká se i jmen jejich rodičů. Pokuta za porušení GDPR zohledňuje instituci, která jej porušila.
Zákon o zpracování osobních údajů umožňuje udělit souhlas se zpracováním údajů bez souhlasů rodičů dětem od 15 let. Původní předloha počítala s hranicí 13 let, ale z iniciativy Úřadu pro ochranu osobních údajů byla zvýšena. +more Odbory a zaměstnavatelské svazy požadovaly hranici 16 let.
Ochranu osobních údajů v nemocnicích, školách a obcích by měl hlídat speciální pověřenec. Ještě koncem září 2017 obcím, úřadům a firmám nebylo jasné, jak bude práce pověřence vypadat, jestli jich bude k dispozici dostatek, kolik budou stát a kde na ně vezmou peníze.
Konzervativní odhad nákladů na provoz pověřenců je 600 milionů korun, další náklady bude potřeba vynaložit na vstupní analýzy, nové počítače pro pověřence a programové vybavení. Protože hrozí nedostatek kvalifikovaných odborníků, je možné využít toho, že jeden specialista může pracovat pro více radnic, ovšem je možné, že větší obce si s jedním pověřencem nevystačí a budou jich potřebovat více. +more Ministerstvo vnitra doporučilo, aby jeden pověřenec pracoval nejvýše pro deset obcí.
OVM pokuty neplatí
Orgánu veřejné moci a veřejnému subjektu nemůže být uložen správní trest, ačkoliv došlo k porušení zákona. Je to dáno § 62 odst. +more 5 zákona č. 110/2019 Sb. , který uvádí:.
A v tomto článku 83 odst. 7 se uvádí, že:
Takto například ÚOOÚ v roce 2019 nemohl udělit pokutu Ministerstvu vnitra, přestože to umožnilo celkem 88 000 neoprávněných přístupů k údajům v registru obyvatel.
Legislativa
GDPR v Česku upřesňuje Zákon o zpracování osobních údajů. ÚOOÚ dále zmapoval oblasti, kde právní předpisy regulují zpracování osobních údajů podle článku 6 odst. +more 1 GDPR: * Elektronická veřejná správa, územní samospráva a doklady * Fotografie ve veřejnoprávních rejstřících * Identifikace včetně rodného čísla * Elektronická komunikace a telekomunikace * Kamerové systémy * Veřejnoprávní rejstříky * Armáda, policie, trestní řízení a zpravodajské služby.
Kromě toho existují sektorové metodiky pro bankovnictví, školství, veřejné zakázky, zdravotnictví a podobně.
Odkazy
Reference
Externí odkazy
[url=https://ec. europa. +moreeu/info/law/law-topic/data-protection/reform_cs]Základní informace o GDPR na stránkách EU[/url] * [url=https://eur-lex. europa. eu/legal-content/CS/TXT/. uri=CELEX%3A02016L0680-20160504]Směrnice Evropského parlamentu a Rady (EU) 2016/680 o ochraně fyzických osob[/url] v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (konsolidované znění) * * * * *.
Kategorie:Evropský justiční prostor Kategorie:Právní akty Evropské unie Kategorie:Soukromí